neprihlásený Sobota, 20. júla 2019, dnes má meniny Iľja   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Google má zraniteľnosť vo fyzickom bezpečnostnom kľúči, vymieňa ho

Značky: Googlebezpečnosť

DSL.sk, 16.5.2019


V bezdrôtovej verzii fyzického bezpečnostného kľúča Titan Security Key od spoločnosti Google sa nachádza bezpečnostná zraniteľnosť, ktorá umožňuje útoky v dosahu Bluetooth signálu a spoločnosť tak kľúče bezplatne vymieňa.

Ide o ďalší z radu významnejších bezpečnostných problémov v rozličných produktoch, ktoré boli ohlásené tento týždeň.

Titan Security Key je paradoxne kľúčom, ktorý má zabezpečiť vyššiu bezpečnosť užívateľov. Ide o kľúč štandardu FIDO a slúži na zabezpečenie bezpečnejšieho a zároveň pohodlnejšieho dvojfaktorového overovania napríklad oproti SMS kódom. Prvým faktorom je heslo užívateľa, druhým vlastnenie s účtom spárovaného fyzického kľúča a stlačenie tlačidla na ňom po výzve pri prihlásení.

Google ho začal ponúkať v dvoch verziách v minulom roku zatiaľ zrejme len v USA, obe disponujú podporou fungovania cez USB a NFC a bezdrôtová aj cez Bluetooth. Problém sa nachádza práve v bezdrôtovej verzii, konkrétne ide podľa stručného opisu spoločnosti o zlú konfiguráciu v protokoloch Bluetooth párovania.

Zraniteľnosť sa dá podľa spoločnosti útočníkom v dosahu signálu využiť dvomi spôsobmi. Keď sa užívateľ pomocou kľúča chce prihlásiť do svojho účtu na jeho počítačovom zariadení a má stlačiť tlačidlo na kľúči, ku kľúču sa v tom momente môže pripojiť zariadenie útočníka skôr ako zariadenie užívateľa a útočník sa môže prihlásiť do účtu užívateľa ak zároveň pozná jeho prihlasovacie údaje.


Google Titan Security Key, vľavo bezdrôtová Bluetooth verzia, kliknite pre zväčšenie (foto: Google)



Okrem toho sa zariadenie útočníka môže tváriť ako spárovaný kľúč voči počítačovému zariadeniu užívateľa, s ktorým kľúč užívateľ využíva. Útočník sa môže úspešne k zariadeniu pripojiť v momente, keď má užívateľ stlačiť tlačidlo na kľúči. Zariadenie útočníka sa potom môže pokúsiť zmeniť typ zariadenia napríklad na Bluetooth klávesnicu alebo myš a uskutočňovať akcie na zariadení užívateľa.

Podľa Google je aj napriek tomuto problému stále kvôli ochrane proti phishingu bezpečnejšie využívať tento kľúč ako kľúč prestať hneď používať a vypnúť dvojfaktorové overovanie respektíve používať jeho menej bezpečné metódy ako SMS a výzvy na zariadení. Užívateľom ale odporúča kľúč vymeniť.

Dovtedy ho odporúča používať na súkromných miestach s minimálnou vzdialenosťou 30 stôp, teda cca 9.14 metrov, od potenciálnych útočníkov. Či je možné dosah útokov zväčšiť pomocou výkonnejších a citlivejších antén a do akej miery nie je jasné.

Zároveň Google hneď po použití kľúča na prihlásenie odporúča zrušiť jeho párovanie so zariadením. Bluetooth verzia kľúča sa zrejme často používa s mobilnými zariadeniami. V prípade iOS po upgrade na iOS 12.3 kľúč s problémom už nebude vôbec fungovať, v prípade Androidu s budúcimi júnovými aktualizáciami sa kľúču automaticky po prihlásení ku Google účtu zruší párovanie.

Zraniteľný kľúč je možné poznať podľa verzie uvedenej v jeho spodnej časti, zraniteľné sú verzie T1 a T2. Či už Google dodával nejaký čas novšiu opravenú verziu nie je jasné. Bližšie informácie o výmene je možné nájsť na google.com/replacemykey.


      Zdieľaj na Twitteri



Najnovšie články:

Výrobcovia podporujú PCI Express 4.0 na existujúcich doskách, aj keď je AMD proti
Sci-fi seriál Agents of S.H.I.E.L.D. zrušený
Intel zrejme zvýši výkon Atomov, pridá L3 cache
Dnes padne na Zem čínska vesmírna stanica
Spúšťa sa výroba lepších 12 GB DDR5 pamätí pre smartfóny
Optika Orangu pokrýva 500 tisíc domácností, zverejnil dĺžku položených káblov
Predaje smartfónov klesnú, užívatelia ich používajú dlhšie
Galileo obnovený takmer po týždni výpadku, vysvetlenie stále chýba
Hľadanie mimozemského života bude detekovať aj krátke laserové pulzy
Satelitné pripojenie OneWeb zverejnilo latenciu a rýchlosť


Diskusia:
                               
 

Prjekak
Odpovedať Známka: 6.9 Hodnotiť:
 

prečo píšeš po srbsky??
Odpovedať Známka: 0.9 Hodnotiť:
 

Stale bezpecnejsie ako ten dvojfaktor nepouzivat. Radovo bezpecnejsie.
Odpovedať Známka: 0.0 Hodnotiť:
 

presne. ten skvely pocit bezpecnosti, ked si PC deravym XEONom autentifikujes goolackym klucikom...
Odpovedať Známka: 6.7 Hodnotiť:
 

Super a? Alternativa ze si ten PC autentifikujes iba menom a heslom je bezpecnejsia? Miesanie sem xeona nedava ziaden vyznam. Nepisal som, ze nemozes mat amd/qualcomm alebo nieco ine.
Odpovedať Hodnotiť:
 

..som vyuceny zamecnik, pustite ma k temu, (mam tu aj vercajkch!

sa to musi vyvrtat, vysrobuvat, zabrusit, odvrtat)
Odpovedať Známka: 1.1 Hodnotiť:
 

neni si náhodou ezermešter??
Odpovedať Známka: 7.5 Hodnotiť:
 

neni je
Odpovedať Známka: 5.0 Hodnotiť:
 

Na každý jeden zámok sú aspoň tri kľúče.
Odpovedať Známka: 10.0 Hodnotiť:
 

Menovite: foreign key, primary key a desina vidlicova (moze byt aj capovana)
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. Napriklad kodovaci zamok otvara podla kazdeho dvere vzdy priekazne inam.
Odpovedať Známka: 6.0 Hodnotiť:
 

Dal som ti lajk,aby ti ostala desina ... . Chcel by som ta niekedy spoznat osobne ;)
Odpovedať Hodnotiť:
 

ani titan, ani security..
Odpovedať Známka: 4.0 Hodnotiť:
 

google
a bezpecnost... sukromie.....


?????????????????
Odpovedať Známka: 3.3 Hodnotiť:
 

"odporúča používať na súkromných miestach s minimálnou vzdialenosťou cca 9.14 metrov od potenciálnych útočníkov" - a ja somar som si dom postavil co najblizsie k hranici pozemku co stavebny zakon dovolil.
Odpovedať Hodnotiť:

Pridať komentár